Web系统安全管理规范.docx
《Web系统安全管理规范.docx》由会员分享,可在线阅读,更多相关《Web系统安全管理规范.docx(38页珍藏版)》请在冰豆网上搜索。
Web系统安全管理规范
编号:
中国XX股份有限公司
Web系统安全管理规范
(审阅稿)
第1章概述
1.1概述
Web系统是互联网上信息交换的平台,是中国XX对内、对外交流的窗口,是企业员工获取信息的重要渠道。
Web服务器也是企业信息系统中最容易遭受攻击的目标之一。
为保护中国XX企业信息资产和信息系统安全,保障Web系统的保密性、可用性、完整性和可管理性特制定本规范。
本规范从Web的技术、管理和人员使用三方面提出安全规定,包括Web服务器安全、Web服务器操作系统安全、Web内容安全、Web服务器网络安全和用户使用安全。
1.2目标
保障中国XX企业信息资产安全,保护Web系统的可用性、完整性和保密性,规范用户安全使用Web。
1.3范围
本标准规定了中国XXWeb系统的技术、管理和使用的安全。
本标准适用于中国XXWeb系统安全的维护和管理、内容发布。
1.4规范引用的文件或标准
下列文件中所包含的条款,通过本标准的引用而成为本标准的条款。
本标准出版时,所示版均为有效。
所有标准都会被修订,使用本标准的各方应探讨使用下列标准最新版本的可能性。
1.GB17859-1999计算机信息系统安全保护等级划分准则
2.GB/T9387.2-1995信息处理系统开放系统互连基本参考模型第二部分安全体系结构(ISO7498.2:
1989)
3.GA/T387-2002计算机信息系统安全等级保护网络技术要求
4.《计算机信息网络国际联网安全保护管理办法》
5.《中华人民共和国计算机信息系统安全保护条例》
6.《计算机信息网络国际联网保密管理规定》
7.《中华人民共和国计算机信息网络国际联网管理暂行规定》
8.《维护互联网安全的决定》
9.ISO/IECTR13355信息技术安全管理指南ISO/IECTR13355信息技术安全管理指南
10.NIST信息安全系列——美国国家标准技术院
11.英国国家信息安全标准BS7799
12.信息安全基础保护ITBaselineProtectionManual(Germany)
13.BearingPointConsulting内部信息安全标准
14.RUSecure安全技术标准
15.信息系统安全专家丛书CertificateInformationSystemsSecurityProfessional
1.5术语和定义
访问控制accesscontrol一种安全保证手段,即信息系统的资源只能由被授权实体按授权方式进行访问,防止对资源的未授权使用。
攻击attack违反计算机安全的企图。
审计audit为了测试出系统的控制是否足够,为了保证与已建立的策略和操作相符合,为了发现安全中的漏洞,以及为了建议在控制、策略中作任何指定的改变,而对系统记录与活动进行的独立观察。
授权authorization给予权利,包括信息资源访问权的授予。
。
可用性availability据或资源的特性,被授权实体按要求能及时访问和使用数据或资源。
缓冲区溢出bufferoverflow指通过往程序的缓冲区写超出其长度的内容,造成缓冲区的溢出,从而破坏程序的堆栈,使程序转而执行其它指令,以达到攻击的目的。
计算机病毒computervirus是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据,影响计算机使用,并能自我复制的一组计算机指令或者程序代码。
机密性confidentiality使信息不泄露给非授权的个人、实体或进程,不为其所用。
服务拒绝denialofservice(DoS)是一种导致计算机和网络无法正常提供服务的攻击,资源的授权访问受阻或关键时刻的操作的延误。
数字签名digitalsignature添加到消息中的数据,它允许消息的接收方验证该消息的来源。
非军事化区demilitarizedzoneDMZ作为组织网络的进入点,负责保护安全区域边界或外部连接。
加密encipherment通过密码系统把明文变换为不可懂的形式。
。
穷举攻击forceattack通过尝试口令或密钥可能有的值,违反计算机安全的企图。
入侵者以破译用户口令作为攻击的开始,然后采用字典穷举法,破译口令。
入侵检测intrusiondetection自动检测网络数据流中潜在入侵、攻击和滥用方式,提供了网络安全保护功能。
它位于被保护的内部网络和不安全的外部网络之间,通过实时截获网络数据流,寻找网络违规模式和未授权的网络访问尝试。
日志log一种信息的汇集,记录有关对系统操作和系统运行的全部事项,提供了系统的历史状况。
漏洞loophole由软硬件的设计疏忽或漏洞导致的能避过系统的安全措施的一种错误。
最小特权minimumprivilege主体的访问权限制到最低限度,即仅执行授权任务所必需的那些权利。
口令password用来鉴别实体身份的受保护或秘密的字符串。
口令攻击passwordattack入侵者以破译用户口令作为攻击的开始,然后采用字典穷举法,破译口令,进行破坏,因而用户口令的选择对系统安全很重要。
渗透测试penetrationtesting组织专门程序员或分析员进行系统渗透,以发现系统安全脆弱性,通常会模拟黑客真实环境和手段进行测试以发现系统安全漏洞。
物理安全physicalsecurity为防范蓄意的和意外的威胁而对资源提供物理保护所采取的措施。
端口port进出计算机的路径。
每个服务器应用程序都分配了一个端口号,以将数据发送给相应的服务。
安全审计securityaudit为了测试出系统的控制是否足够,为了保证与已建立的策略和操作相符合,为了发现安全中的漏洞,以及为了建议在控制、策略中作任何指定的改变,而对系统记录与活动进行的独立观察。
安全配置secureconfiguration控制系统硬件与软件结构更改的一组规程。
其目的是来保证这种更改不致违反系统的安全策略。
安全策略securitypolicy规定机构如何管理、保护与分发敏感信息的法规与条例的集合。
安全规范securityspecifications系统所需要的安全功能的本质与特征的详细述。
安全测试securitytesting用于确定系统的安全特征按设计要求实现的过程。
这一过程包括现场功能测试、渗透测试和验证。
敏感性sensitivity资源所具有的一种特征,它意味着该资源的价值或重要性,也可能包含这一资源的脆弱性。
威胁threat一种潜在的对安全的侵害以破坏、泄漏、数据修改和拒绝服务的方式,可能对系统造成损害的环境或潜在事件。
病毒virus同计算机病毒
检验verification将某一活动、处理过程或产品与相应的要求或规范相比较。
例:
将某一规范与安全策略模型相比较,或者将目标代码与源代码相比较。
弱点vulnerability导致破坏系统安全策略的系统安全规程、系统设计、实现、内部控制等方面的弱点。
第2章Web服务器操作系统的安全
2.1Web服务器操作系统的安装和配置安全规范
2.1.1Web服务器操作系统更新和修补规范
(具体安全规范可参见《操作系统安全管理规范》)
2.1.1.1Web服务器操作系统漏洞确认流程
Web系统管理员应通过检查事故日志报告分析系统漏洞,并搜索供应商和其他权威组织(如CVE标准,ICAT网站)发布的最新漏洞修补公告,确认系统漏洞。
2.1.1.2Web服务器操作系统的修补
a)对需要部署的系统修补程序,应在模拟环境中进行测试、验证,确保在实际使用环境中能够完成系统漏洞修补,并确保不带入新的系统弱点和漏洞。
b)在中国XXWeb系统中,所有需要部署的修补程序都应经过测试环节,不应采用自动更新的方式,要使用统一测试、分布应用的方式。
修补流程宜遵照图1操作系统安全测试及修补流程执行。
图1操作系统安全测试及修补流程
2.1.2关闭或删除不必要的服务和应用
a)Web服务器应配备专用的主机,减少Web服务器提供其它应用服务。
b)遵循最小特权安装原则,保留或开放Web服务器根据业务部门需求确定的最小服务选项和应用选项。
c)Web操作系统宜关闭下列功能:
Ø网络输入输出系统、文件和打印机共享WindowsNetBIOS/fileandPrintersharing
Ø网络文件系统NetworkFileSystem(NFS)(如果没有需要)
Ø文件传输协议FTP
Ø远程登录Telnet
Ø远程命令,如rlogin,rsh,rcp等
Ø简单Web传输协议SimpleMailTransferManagementProtocol(SMTP)
Ø网络信息系统NetworkInformationSystem(NIS)
Ø编译器Compilers
Ø软件开发工具SoftwareDevelopmentTools
2.1.3Web服务器操作系统的用户管理
a)只有Web系统管理员和Web站点管理员有权配置和更改Web服务功能。
b)只有被授权的用户可访问特定的Web内容。
c)对需要访问企业机密的Web内容的用户应采用增强用户验证方式,如令牌(token)或一次性口令(OTP)。
d)应删除或者禁用不必要的所有默认帐户和帐户组(如guest帐号)
e)应建立用户组,将用户分配到合适的用户组中,为用户组分配适当的权限从而为每个用户分配适当的权限。
f)依据业务需求建立必要的帐户,应禁止或者限制使用共享帐户。
g)设置帐户和口令安全策略
(关于口令安全的具体安全规范可参见《通用安全管理规范》中口令标准)
Ø口令长度,应指定口令最小长度(例如8个字符);
Ø口令复杂性,口令必须是字母和数字的组合,并且不是字典上的词;
Ø口令过期,口令更新的期限应根据强制的口令长度和复杂性及受保护的信息的重要程度的组合来确定,系统管理员和超级用户的口令每隔30天到120天修改一次;
Ø防止穷举攻击,登陆失败达到一定数量后(例如3次)应拒绝登陆请求,并暂时挂起该用户(例如10分钟);
Ø应记录无论是网络还是控制台的登陆失败请求。
h)如果有必要,Web服务器宜结合使用其他的增强认证机制,例如令牌、数字证书等。
i)应经常检查用户帐号报告,禁用长期不用的用户帐号。
j)应采用安全传输技术(如SSL/TLS)来验证用户口令。
2.1.4Web服务器资源的访问控制
a)应对Web服务器操作系统的文件、目录、设备和进程等资源定义清晰和适当的读、写、执行、删除等权限;
b)严格限制用户授权外的访问控制权限;
c)典型需要控制的访问文件一般应包括:
Ø应用程序和配置文件;
Ø和安全机制直接相关的文件;
1)口令文件或者其它认证需要的文件;
2)包含认证信息并且在访问控制中需要用到的文件;
3)与保密性、完整性和不可否认性安全服务相关的密钥体系;
Ø服务器日志和系统审核文件;
Ø系统软件和配置信息。
d)对于必须访问的系统资源应设置只读属性,例如服务器日志;
e)Web服务器生成的临时文件应保存在指定的子目录中,并严格控制访问权限;
f)Web服务器创建的临时文件应仅限于Web服务器使用;
g)应确保Web服务不能在指定文件结构以外存储文件,确保这些文件和目录不能被其它系统和用户访问;
h)为了防止DoS攻击,可限制Web服务器的使用资源,例如将用户的邮箱设置到其他的硬盘或逻辑分区上,而不是操作系统或者Web应用服务的分区上;
i)应严格管理超级用户权限的使用;
j)应合理分配Web服务器系统管理员的权限;
k)如果不需要远程网络管理,应禁用管理员或者root级别帐户从网络登陆;
l)对访问系统的用户应进行严格认证;
m)如果有必要,Web服务器可结合使用其他的认证机制,例如生物识别,智能卡,或者一次性口令系统等。
2.2操作系统的安全测试
a)应定期使用漏洞扫描工具和渗透测试方法检验操作系统,发现漏洞并及时修补。
b)制定安全测试流程,在不影响系统可用性的情况下,应定期测试操作系统的安全性,发现系统弱点和漏洞,并采取相应加固措施。
c)为保证操作系统与邮件服务器及时更新,必须定期进行弱点扫描。
必须或至少每个月进行一次弱点扫描。
保证现行的各项保护措施发挥作用,保证邮件服务器管理员所采用的安全补丁的有效性。
d)应检测安全措施的应用程度以及是否满足安全策略的要求。
e)宜考虑运用一种以上的扫描程序。
f)应记录并及时纠正扫描发现的弱点。
2.3操作系统安全检查表
是否执行
安全措施
Web服务器的安全配置和部署
□
确定Web服务器的功能
□
确定需要通过Web服务器存储、处理和传输的信息类别
□
确定信息的安全要求
□
确定专用的主机来作为Web服务器
□
确定Web服务器需要提供或支持的网络服务
□
确定Web服务器的用户和用户组,并确定每类用户的权限
□
确定Web服务器的用户认证方法
为Web服务器选择合适的操作系统
□
最小特权安装原则,防止弱点暴露
□
严格控制管理员和超级用户在授权的人员范围内
□
Web服务器能够拒绝无法验证信息的信息访问
□
禁用操作系统或者服务器软件自带的不必要的网络服务
□
选择经验丰富的系统管理员来安装、配置、维护、管理操作系统
更新操作系统,并安装补丁
□
找到并安装所有必要的操作系统补丁,并及时更新系统
□
找到并安装操作系统运行的应用程序和服务的所有必要的补丁,并及时进行更新
删除或禁用不必要的服务和应用
□
删除或禁用不必要的服务和应用
配置操作系统用户认证
□
删除或禁用不必要的默认帐户和用户组
□
禁用非交互帐户
□
为不同用途和级别的用户计算机建立不同的用户组
□
检查组织的口令政策(例如长度、复杂性),并根据政策设置帐户的口令
□
配置系统,防止暴力破解口令,在登陆企图失败超过次数限制后应拒绝登陆
□
安装和配置其他的安全机制来加强认证
测试操作系统安全性
□
在初始安装后测试操作系统的漏洞
□
定期测试操作系统来发现新漏洞
第3章Web应用系统安全
3.1Web应用系统安装的安全
系统服务最小特权安装和及时更新系统和修补系统漏洞,是保证Web应用系统安全的基本原则。
3.1.1Web应用系统的安装应按照下列步骤执行:
a)应在指定的专用主机上安装Web应用系统;
b)应安装Web应用系统所允许的最小功能;
c)应对已知应用系统的弱点进行系统程序更新和修补;
d)应为Web内容的存放创建专门的物理和逻辑磁盘,与操作系统和应用系统分开;
e)应将Web服务器的配置文件和日志文件与Web内容存放在不同的目录树下;
f)应删除或禁用Web应用系统安装过程中一些中间程序和应用,如FTP、远程管理等;
g)应删除Web应用系统根目录下所有与Web站点无关的文件;
h)应删除安装过程中所有的测试脚本、执行代码和文档样例;
i)应删除服务器上供应商所有不必要的文档;
j)应使用安全模板或系统加固工具;
k)重新配置HTTPbanner,在执行HTTPbanner检查时,应确保返回的数据不包含Web服务器和操作系统的类型和版本。
3.2Web应用系统的访问控制
3.2.1Web应用系统的访问控制
a)应严格定义Web服务器的文件、目录和设备的读、写、执行和更改权限。
b)应建立不同的用户组,将每一个用户分配到不同的用户组中。
c)应将系统管理员组与普通用户组分开。
d)应为每一个用户组赋予相应的系统资源的访问权限和操作权限,严格限制对下列文件的访问:
Ø应用软件的配置文件
Ø和安全机制直接相关的文件:
1)口令文件或者其它认证的文件
2)包含授权信息和访问控制信息的配置文件
3)与安全服务相关的密钥体系文件
Ø服务器日志和系统日志文件
Ø系统软件的配置文件
e)应使用Web服务器的操作系统的文件管理功能严格限制Web服务进程对文件的访问,只允许Web服务进程以“只读”权限访问所需文件,强制执行下列访问控制:
Ø应严格控制Web服务进程的访问权限,以普通用户进程访问Web内容文件;
ØWeb服务进程访问Web内容文件只能以“读”方式不能有“写”权限;
ØWeb服务进程在公共Web服务器的文件目录上不应有“写”权限;
Ø应只有Web站点管理员有写Web内容的权限;
Ø应只有系统管理员和站点管理员可读Web服务器的日志文件,其他用户的操作进程只可被记录到日志文件而不能读日志文件;
Ø调用Web服务产生的临时文件(如动态网页)应存放在严格指定目录中。
f)应根据下列规则配置Web服务器以减少拒绝服务(DoS)对系统的攻击:
Ø应将Web内容目录与应用系统分别安装在不同的物理或逻辑分区,并将操作系统和Web应用系统隔离;
Ø如果Web服务器允许上载文件,应限制文件大小并严格控制文件存放的磁盘空间,防止系统崩溃;
Ø如果Web服务器允许上载文件,应在Web服务器上设置这些文件不可“读”,只有在文件内容被审核后才可读,防止Web服务器被利用;
Ø应记录所有可疑操作和进程,并确保有足够的磁盘空间保存系统日志文件,有助于识别攻击行为;
Ø应配置Web服务器的网络连接的超时设定,减少拒绝服务攻击;
Ø宜将网络最大连接数设置为较高。
3.2.2Web内容目录的安全
a)在Web内容文件目录树中应禁用链接、别名和快捷等方式指向别的服务器主机的文件目录或网络文件系统。
b)应将Web服务器存放配置文件和日志文件的目录与存放Web内容的目录设在不同路径下。
c)系统管理员应对经认证的用户和用户组设置相应访问Web内容文件的权限,如ApacheWeb服务器要求对每一个用户所访问的Web内容文件设置相应权限。
d)依据下列步骤来控制对Web内容文件的访问:
Ø应为Web内容文件划出专用的物理或逻辑磁盘,并建立专门的子目录存放Web内容文件目录,但不包括执行脚本和程序。
Ø应为所有外部可执行的脚本和程序(例如CGI,ASP动态服务器主页)定义专门的存放目录。
Ø如果在没有管理帐号控制下禁用脚本的执行,应对包含不同可执行脚本的文件目录设置不同权限控制。
Ø应禁用物理和符号链接文件目录。
Ø应建立Web目录访问权限控制的矩阵,明确定义哪些用户组可访问Web服务器的哪些文件和目录。
e)Web管理员应禁止子目录越权操作上级目录,除非有特殊需要。
f)Web服务器应禁用文件列表功能。
3.2.3统一资源标识URL
a)公共服务器的Web内容在源代码中不应包含敏感URL。
b)Cookie不应包含可能被用来攻击服务器的信息,如用户名和口令。
3.3Web应用系统的文件完整性检查
a)对Web服务器系统应进行文件完整性检查。
b)在Web服务器操作系统安装后,应及时创建最初的文件完整性检查的数字文摘数据库。
c)确保在安全状态下,应创建最初Web服务器的数字文摘数据库。
d)系统更新和修补后应运行文件完整性检查系统更新数据库。
e)一旦发现系统文件XX被修改,应立即进行事件调查并启动事件响应机制。
3.4Web应用系统安装和配置的安全检查表
是否执行
安全措施
Web服务器的安装安全
□
为Web应用系统的安装分配专用的主机
□
安装Web应用系统需要的最小功能
□
对已知系统的弱点执行程序更新和修补
□
为存放Web内容创建专门的物理和逻辑磁盘,与操作系统和应用系统分开
□
删除或禁用Web应用系统安装过程中的一些不必要的中间程序和应用,如FTP、远程管理等
□
删除安装过程中所有的测试脚本、执行代码和文档样例
□
删除服务器上供应商所有不必要的文档
□
配置HTTPbanner,保证在执行HTTPbanner检查时返回的数据不包含Web服务器和操作系统的类型和版本信息
Web服务器主机操作系统的访问权限控制
□
Web服务进程访问Web内容文件只能以“读”方式不能有“写”权限
□
Web服务进程在Web内容文件存放的路径下不能有“写”权限
□
只有为管理Web服务器的经授权的进程可对Web内容文件进行“写”操作
□
Web应用进程应只可被记录到日志文件而不能读日志文件
□
调用Web服务产生的临时文件(如动态网页)应存放在严格指定目录中
□
将Web内容目录安装在不同的物理或逻辑分区,与操作系统和Web应用系统隔离
□
如果Web服务器允许上载文件,应限制文件大小并严格控制文件存放的磁盘空间,防止系统崩溃
□
保证有足够的磁盘空间保存系统日志文件
配置Web内容目录的安全
□
为Web内容划出专用的物理或逻辑磁盘,并建立专门的子目录存放Web内容文件目录,但不包括执行脚本和程序
□
为所有外部可执行的脚本和程序(例如CGI,ASP动态服务器主页)定义专门的存放目录
□
在没有管理帐号控制下禁用脚本的执行,对包含不同可执行脚本的文件目录设置不同权限控制
□
为不同级别的Web用户建立不同的用户组
□
禁用物理和符号链接文件目录
□
建立Web目录访问控制的矩阵,明确定义哪些用户组可访问Web服务器的哪些文件和目录
□
如果需要,使用适当的robot.txt
文件完整性检查
□
安装文件完整性检查组件以保护Web配置文件、口令文件和Web内容安全
□
更新文件完整性检查表
□
将文摘数据库存放在只读的介质上
□
经常比较数字文摘数据库以检查文件的完整性
第4章Web内容安全
4.1中国XX外部Web站点信息发布的安全规范
4.1.1Web站点信息内容发布流程:
g)确定负责创建、发布和维护公共信息的责任人;
h)创建或编排在Web站点发布信息的格式;
i)信息提供部门填写《中国XX内部网站信息发布审批表》(见附表);
j)由部门领导审核、确定可在Web站点发布的信息并签字;
k)由信息审核部门审查,并同意发布;
l)交由信息中心加载;
m)检验已发布的信息的完整性;
n)定期检查已发布的内容,确保与企业安全政策一致。
4.1.2Web系统管理员或站点管理员应定期检查Web页面的代码内容
防止重要信息被隐藏在页面的源代码中被人利用,从而暴露Web服务器的文件结构或泄露企业机密。
4.1.3Web站点不得包含国家法律、法规明令规定的内容
o)反对宪法所确定的基本原则的;
p)危害国家安全,泄露国家秘密,颠覆国家政权,破坏国家统一的;
q)损害国家荣誉和利益的;
r)煽动民族仇恨、民族歧视,破坏民族团结的;
s)破坏国家宗教政策,宣扬邪教和封建迷信的;
t)散布谣言,扰乱社会秩序,破坏社会稳定的;
u)散布淫秽、色情、赌博、暴力、凶杀、恐怖或者教唆犯罪的;
v)侮辱或者诽谤他人,侵害他人合法权益的;
w)含有法律、行政法规禁止的其他内容的。
4.1.4公共Web站点不应包含下列信息:
a)机密档案;
b)内部管理规则和流程;
c)员工个人信息:
Ø家庭地址和家庭电话号码;
Ø家庭成员信息;
d)企业内部电话号码、e-mail地址和员工名单;
e)未经用户同意不得向他人泄露用户的个人信息;
f)超出中国XX发布范围的财务记录;
g)中国XX信息安全流程;
h)